Save the World from IT threats Kaspersky Endpoint Security for Linux 製品説明資料 2017 年 12 月 12 日株式会社カスペルスキーコーポレートビジネス本部 Copyright 2017 Kaspersky Lab. All rights reserved.
製品ラインアップ 製品機能
Kaspersky Endpoint Security for Linux Linux 向け製品の製品ラインナップが変更され 1 アプリケーションでの提供となりました これまでの製品体系 Linux デスクトップ用 Linux サーバー用 Kaspersky Endpoint Security 8 for Linux Kaspersky Anti-Virus 8.0 for Linux File Servers 新製品体系 Linux デスクトップ用 Linux サーバー用 Kaspersky Endpoint Security 10 for Linux Linux であればデスクトップ用途でもサーバー用途でも同一アプリケーションで対応可能に!! 3
製品ラインアップ 製品機能
製品機能 Kaspersky Endpoint Security 10 for Linux には下記機能があります リアルタイムスキャン / オンデマンドスキャン スキャンテクノロジー Kaspersky Security Network 対応 ブートセクタースキャン機能 実行中のプロセスメモリスキャン機能 感染オブジェクトのバックアップ / コピー 信頼リスト ( 除外リスト ) の作成 / 追加 CIFS(Samba)/NFS スキャン ( 共有 / マウント ) Kaspersky Security Center による集中管理 インストールの簡易化 (Fanotify サポート ) コマンドベースの管理 5
リアルタイム / オンデマンドスキャン アンチウイルススキャンの機能では リアルタイムスキャン と オンデマンドスキャン に対応しています 設定方法はそれぞれ下記で行います リアルタイムスキャン ポリシーにて設定オンデマンドスキャン タスクにて設定 リアルタイムスキャン オンデマンドスキャン 6
スキャンテクノロジー Kaspersky Endpoint Security 10 for Linux ではスキャンによる負荷を軽減させるための機能や未知のウイルスを検知するための機能が備わっています スマートチェックファイルを開こうとするとファイルをスキャンし ファイルが変更されている場合は閉じようとしたときに再びスキャンを行う 特定の期間中にプロセスが何回かファイルにアクセスしてそのファイルを変更しようとしたり ファイルを閉じるプロセスが複数回行われる場合には最後に試行されたときにのみファイルの再スキャンを行う ヒューリスティック分析アンチウイルスデータベースでは検知できないウイルスを検知する技術 未知または新種の既知 ( 亜種 ) のウイルスにより感染したオブジェクトを検出することが可能 アプリケーションの振る舞い分析により 悪意のある行動パターンを監視し さまざまなマルウェア群を特定する スキャンが必要な場面でのみスキャンが行われるためパフォーマンスに優れています Linux においても単純なシグネチャベースのアンチウイルスだけでなく ヒューリスティック分析が可能となります 7
Kaspersky Security Network (KSN) 対応 NEW カスペルスキーのクラウドレピュテーション機能である Kaspersky Security Network(KSN) に対応しました KSN に対応することでクラウドの情報を利用しより最新の脅威に対応することができるようになります レピュテーションの照会 ( 代理 ) KSN サーバ ( クラウド ) Kaspersky Security Center レピュテーションの結果 レピュテーションの照会 レピュテーションの結果 世界中の Kaspersky ユーザからのレピュテーション情報 社内ネットワーク 8
Kaspersky Security Network のメリット NEW カスペルスキー独自のクラウドレピュテーションサービス メリット 1: 最新の脅威への迅速な対応 ( 緊急検知データベース ) 世界中 4 億人以上のカスペルスキーユーザーから収集したリアルタイム脅威情報を KSN 緊急検知データベースで管理 各端末はスキャン時に KSN へ問い合わせすることで 最新の脅威に素早く対応 新たな脅威の検知からユーザーへの定義 DB 配信まで数時間かかるところを数分で対応 メリット 2: オブジェクト属性情報による関連分析 ( メタデータリポジトリー ) 検査ファイルのダウンロード元 URL 情報など オブジェクトに関連付けられた属性情報を元に総合的な分析を実施 ファイル単体検査だけでは検知が困難な高度なマルウェア対策に効果を発揮 最新の脅威情報送信 KSN 最新の脅威情報提供 マルウェアに関する情報 不正 WEB サイト情報 アプリケーション情報 脆弱性情報など 9
メリット 1 最新の脅威への迅速な対応 NEW 最新の脅威が定義データーベースへ登録されるまでのタイムラグを大幅に低減 新たな脅威を検知し それが定義 DBが各ユーザーに配信されるまで 通常数時間かかる時間を KSN 問い合わせにより数分以下へ短縮 1 ユーザーコンピューターは KSN に参加しているカスペルスキー製品ユーザー 不審な挙動を見せる脅威に関す る情報をリアルタイムで KSN に 送信 2 カスペルスキーの Automatic 1 KSN Delivery System 3 Analysis Systemにて 悪意のある脅威は即座に 緊急検知 DB に追加される また正規のアプリなどは明示的 にホワイトリストへ登録 Kaspersky Lab 累積統計 DB Kaspersky Lab ホワイトリスト DB Kaspersky Lab 緊急検知 DB Kaspersky Lab 定義 DB 3 ユーザーコンピューターはリアルタイムでKSNの緊急検知 DB やホワイトリスト情報を参 2 照しながら端末を保護 Automatic Analysis System Kaspersky Lab アナリスト評価 4 4 KSNに登録された情報をカスペルスキーのアナリストが正確に解析 評価し 定義 DBへ反映 10
メリット 2 オブジェクト属性情報による関連分析 NEW KSNはセキュリティ攻撃や検査対象オブジェクトに対して 多種多様なメタデータ ( 属性情報 ) の関係性について 分析を実施 検査対象ファイルのダウンロード元 URLに問題はないか 起動するアプリケーションは正規のものであるか( デジタル署名の有無など ) 未知の脅威に対する検知力を強化すると共にホワイトリストによる誤検知対策も完備 オブジェクトに関する情報ダウンロードに関する情報 ファイルサイズ チェックサム ダウンロード元 URL(IP) (MD5 SHA2-256 SHA1) また その状態 圧縮に使用されたアプリ名 ( 悪意があるか ) ファイルの証明書など WEB 上の不正スクリプトの数 生成されたHTTPリクエスト/ レスポンス情報 ダウンロードプロセス名アプリケーションに関する情報 ダウンロードプロトコル アプリケーションの普及度ポート番号など 実行プロセス情報( プロセス名 プロセスID 実行アカウント) デジタル署名の有無 プロセスに読み込まれた関連モジュール情報など KSN へ送信される情報に個人または企業データは含まれません KSN へ連携 KSN 未知の脅威に対する一例 新種のマルウェアがダウンロードされる際に KSN が持っている不正ダウンロード元 URL 情報に一致した場合 即座にダウンロードブロック処理を実行 ヒューリスティックや振る舞い検知などのオブジェクトスキャンに加えて 左記のようなファイル属性情報を複合することで さらなる防御力向上を実現 11
ブートセクタースキャン機能 NEW ブートセクターをスキャンする機能が搭載 ブートセクター上のマルウェアを検知することが可能 コマンドによるローカル実行と KSC からのタスク実行が可能 [root@localhost /]# /opt/kaspersky/kesl/bin/kesl-control --get-task-state 4 Name: Boot_Scan ID : 4 Type : BootScan State : Stopped [root@localhost /]# /opt/kaspersky/kesl/bin/kesl-control --start-task 4 Task has been scheduled for starting コマンドによる実行インストール時にタスクが自動作成されるため実行コマンドのみで実行可能 タスクによる実行 KSC 上でタスクを作成し スキャン設定 除外領域 スケジュールを指定して適用 12
実行中のプロセスメモリスキャン機能 NEW 実行中のプロセスメモリをスキャンする機能が搭載 特定が非常に困難な 実体のない マルウェアを検知することが可能 コマンドによるローカル実行と KSC からのタスク実行が可能 [root@localhost /]# /opt/kaspersky/kesl/bin/kesl-control --get-task-state 5 Name: Memory_Scan ID : 5 Type : MemoryScan State : Stopped [root@localhost /]# /opt/kaspersky/kesl/bin/kesl-control --start-task 5 Task has been scheduled for starting コマンドによる実行インストール時にタスクが自動作成されるため実行コマンドのみで実行可能 タスクによる実行 KSC 上でタスクを作成し スキャン設定 除外する脅威 スケジュールを指定して適用 13
感染オブジェクトのバックアップ / コピー Kaspersky Endpoint Security 10 for Linux では検出した脅威については無害な状態に変更しバックアップを取得します バックアップしたファイルについて 定義データベース更新後に再スキャンすることや 復元することが可能です KESL で利用可能な設定 スキャン 復元 オブジェクトの削除 14
信頼リスト ( 除外リスト ) の作成 / 追加 信頼リストとは スキャンから除外するリストになります 信頼リストを作成し ポリシーにて一斉適用が可能です 領域 (Path) の除外 ファイル名 (File Mask) での除外 脅威名 (Threat name) での除外 15
CIFS(Samba)/NFS スキャン ( 共有 / マウント ) NEW Samba を利用してファイルサーバーとして動作させている環境や NFS サーバーとして データ領域をマウントさせている環境の場合 Samba/NFS で公開している領域をクライアントからのアクセス時にスキャンすることができます CIFS(Samba)/NFS で共有 / マウントしている領域に対してのスキャンが可能 共有 / マウント先を細かくしていることも可能 共有 / マウント先の CIFS(Samba)/NFS を個別に指定可能 すべての共有 / マウントを選択することも可能 共有している NFS/Samba はそれぞれ下記設定を確認し保護を行います NFS /etc/exports Samba /etc/samba/smb.conf 16
Kaspersky Security Center による集中管理 管理サーバーである Kaspersky Security Center を利用することで統一したポリシーで PC の集中管理が可能 定義適用の状況 バージョン管理 状態チェックなど全て一元管理可能 Linux のみでなく Windows/Mac/ スマートフォン 物理 / 仮想環境も問わず集中管理が可能 Kaspersky Security Center Kaspersky Security Center Console 17
Kaspersky Security Center による集中管理 Kaspersky Endpoint Security 10 for Linux に対して Kaspersky Security Center で下記の操作を実施できます ポリシー Kaspersky Endpoint Security 10 for Linux ポリシーの作成 配信 適用 Kaspersky Network Agent ポリシーの作成 配信 適用 タスク 下記のタスクの作成 配信 実行 ライセンスキーの配信 / 定義データベースの配信 / オンデマンドスキャンの実行 / ブートセクターのスキャン / プロセスメモリのスキャン / 定義データベースのロールバック 管理系 ログ情報の集積とアラートの実行 ( メール /SNMP など ) レポートの作成 グループ管理 18
インストールの簡易化 (Fanotify サポート ) これまでインストール時にリアルタイムスキャンの実行用にコンパイルしていた動作がなくなり自動で確認 適用が行われるようになります コンパイルせずに実装する方法として Linux カーネルにある Fanotify という機構を利用しリアルタイムスキャンを実装します Fanotify が利用できない環境の場合はこれまで通りコンパイルが行われます Fanotify とは? Linux 2.6.36 カーネルから取り込まれたファイルシステムの状態変化を通知する機構 リアルタイムスキャンで利用 Fanotify が利用できる環境 (Linux Kernel 2.6.31 以降 ) の場合 自動的に Fanotify を利用するように設定を実行 Fanotify が利用できない環境の場合はリアルタイムプロテクションモジュールのコンパイルが行われる Configuring file interceptors NEW Checking if fanotify is available... Using fanotify interceptor Starting Kaspersky Endpoint Security 10 for Linux. It can take some time. Please wait. Fanotify 参考情報 : https://www.ipa.go.jp/security/fy22/reports/tech1-tg/b_03.html 19
コマンドベースの管理 NEW Linux OS 上でコマンドラインベースでの管理が可能です 新しいコマンドも追加され より簡易に管理が可能となりました コマンドサンプル すべてのログ参照 /opt/kaspersky/kesl/bin/kesl-control -E --query 設定されているタスクの一覧 /opt/kaspersky/kesl/bin/kesl-control --get-task-list タスクの詳細設定確認 /opt/kaspersky/kesl/bin/kesl-control get-settings (TaskID) KES 10 Linux ステータス確認 /opt/kaspersky/kesl/bin/kesl-control S タスクの実行 /opt/kaspersky/kesl/bin/kesl-control start-task (TaskID) 設定関連もコマンドで対応することが可能です 20